CVE-2025-55752 e CVE-2025-55754: Vulnerabilidades no Apache Tomcat Expõem Servidores a Ataques RCE
Índice:
Em março de 2025, CVE-2025-24813 serviu como um lembrete claro de quão rapidamente uma vulnerabilidade crítica no Apache Tomcat pode se tornar uma ameaça ativa. Menos de 30 horas após sua divulgação, atacantes já estavam explorando a desserialização insegura para executar código remotamente, assumindo o controle de servidores não corrigidos. Agora, apenas meses depois, um duo de novas vulnerabilidades (CVE-2025-55752, CVE-2025-55754) foi trazido à luz, mais uma vez abrindo a porta para ataques RCE.
Apache Tomcat é um contêiner de servlet Java de código aberto gratuito que hospeda aplicativos web baseados em Java e implementa especificações Java Servlet e JavaServer Pages (JSP). Ele alimenta centenas de milhares de sites e sistemas empresariais em todo o mundo, incluindo agências governamentais, grandes corporações e infraestruturas críticas. No entanto, esse uso difundido de software de código aberto traz uma camada séria de preocupação. De acordo com o Relatório de Análise de Segurança e Risco de Código Aberto de 2025 (OSSRA), 86% dos códigos comerciais avaliados continham vulnerabilidades de software de código aberto, e 81% deles continham vulnerabilidades de risco alto ou crítico.
Inscreva-se na Plataforma SOC Prime para acessar o feed global de ameaças ativas, que oferece inteligência de ameaças cibernéticas em tempo real e algoritmos de detecção curados para enfrentar ameaças emergentes, como falhas em software de código aberto. Todas as regras são compatíveis com múltiplos formatos de SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK® . Além disso, cada regra é enriquecida com CTI links, cronogramas de ataque, configurações de auditoria, recomendações de triagem e mais contexto relevante. Pressione o botão Explore Detecções para ver toda a pilha de detecção para defesa proativa contra vulnerabilidades críticas filtradas pela tag “CVE”.
Além disso, especialistas em segurança podem otimizar a investigação de ameaças usando Uncoder AI, um IDE privado & co-piloto para engenharia de detecção informada por ameaças. Gere algoritmos de detecção a partir de relatórios de ameaças brutas, habilite verificações rápidas de IOC, preveja tags ATT&CK, otimize o código de consulta com dicas de IA e traduza-o em várias linguagens de SIEM, EDR e Data Lake.
Análise de CVE-2025-55752 e CVE-2025-55754
Em 27 de outubro de 2025, a Apache Software Foundation confirmou duas novas vulnerabilidades que afetam as versões 9, 10 e 11 do Apache Tomcat.
Das duas falhas recentemente relatadas, CVE-2025-55752 é considerada a mais grave, recebendo uma classificação “Importante”. Esta vulnerabilidade surgiu de uma regressão durante a resolução de um bug anterior (bug 60013) e permite que atacantes explorem a travessia de diretórios por meio de URLs reescritas. Ao criar URIs de requisição que são normalizadas antes da decodificação, atores maliciosos podem potencialmente contornar as proteções internas do Tomcat para diretórios críticos, incluindo /WEB-INF/ and /META-INF/. O risco se intensifica se pedidos HTTP PUT estiverem habilitados, pois atacantes poderiam carregar arquivos maliciosos, potencialmente levando à execução remota de código no servidor. No entanto, na maioria das configurações de produção, pedidos PUT são restringidos a usuários confiáveis, o que limita a probabilidade de exploração imediata.
A segunda falha, CVE-2025-55754, tem uma classificação de severidade “Baixa”, mas ainda é digna de nota. Ela resulta do manuseio inadequado das sequências de escape ANSI nos logs de console do Tomcat. Quando executado em um ambiente de console (principalmente em sistemas Windows), os atacantes podem enviar URLs especialmente criadas que injetam sequências de escape na saída do log. Essas sequências podem manipular a exibição do console ou o conteúdo da área de transferência, criando oportunidades para enganar administradores a executar ações não intencionadas. Embora observado principalmente no Windows, vetores de ataque semelhantes podem existir em outras plataformas, ampliando o impacto potencial desta vulnerabilidade.
Mitigação de CVE-2025-55752 e CVE-2025-55754
As vulnerabilidades afetam as versões do Apache Tomcat 11.0.0-M1 a 11.0.10, 10.1.0-M1 a 10.1.44, e 9.0.0-M11 a 9.0.108, além de algumas versões EOL como 8.5.60 a 8.5.100.
Para resolver essas questões, os administradores devem atualizar para as versões corrigidas—Tomcat 11.0.11, 10.1.45 e 9.0.109—e verificar todas as instâncias implantadas para garantir que não restem versões afetadas em uso.
Medidas adicionais de mitigação incluem desabilitar ou restringir as requisições HTTP PUT a menos que sejam estritamente necessárias, rever as configurações de console e logging (especialmente em sistemas Windows) e monitorar ativamente atividades incomuns, como uploads de arquivos inesperados ou entradas de log suspeitas. Ao tomar essas medidas, as organizações podem reduzir significativamente o risco de exploração e manter a segurança e estabilidade de suas aplicações web e infraestruturas críticas.
Aumentar estratégias proativas de defesa cibernética é crucial para que as organizações reduzam efetiva e rapidamente os riscos de exploração de vulnerabilidades. Ao alavancar a suíte completa de produtos da SOC Prime para proteção de segurança pronta para empresas, apoiada pela melhor expertise em cibersegurança e IA, e construída sobre marcos de confiança zero , organizações globais podem preparar suas defesas em escala e fortalecer sua postura de cibersegurança.
